范围：AWS
内容类型：重要提示（需要注意）
发布日期：2025 年 7 月 23 日下午 6:00（太平洋夏令时）
更新日期：2025 年 07 月 25 日 下午 6:00（太平洋夏令时）

描述：

适用于 Visual Studio Code 的 Amazon Q 开发者版扩展是一款开发工具，将 Amazon Q 人工智能驱动的编码辅助直接集成到 VS Code 集成式开发环境（IDE）中。

AWS 知悉并处理了适用于 Visual Studio Code 的 Amazon Q 开发者版扩展中的一个问题，该问题已分配至 CVE-2025-8217。

在对 AWS-2025-016 进行调查的过程中，我们发现适用于 Visual Studio Code 的 Amazon Q 开发者版扩展的 CodeBuild 配置中存在一个权限范围不当的 GitHub 令牌。通过该访问令牌，威胁行为者能够向该扩展的开源存储库提交恶意代码，而该存储库已自动包含在某个版本中。发现此问题后，我们立即撤销并更换了相关凭证，从该代码库中移除了恶意代码，并随后发布了适用于 Visual Studio Code 的 Amazon Q 开发者版扩展版本 1.85.0。

AWS 安全团队对代码进行了检查，并确定恶意代码虽随扩展一同分发，但因存在语法错误而未成功执行。这使得该恶意代码无法对任何服务或客户环境做出修改。

如果我们有其他信息要分享，将更新此公告。

受影响的版本：

适用于 Visual Studio Code 的 Amazon Q 开发者版扩展（版本 1.84.0）

解决方法：

AWS 已采取所有必要的缓解措施来保障 AWS 系统的安全，并发布了适用于 Visual Studio Code 的 Amazon Q 开发者版扩展版本 1.85.0。这包括从分发渠道中移除版本 1.84.0，防止更多客户安装该版本。尽管恶意代码无法执行，但仍存在于版本 1.84.0 的现有安装中。因此，应停止使用版本 1.84.0 的所有安装，客户应更新至版本 1.85.0，包括任何分叉或衍生副本。

要更新适用于 Visual Studio Code 的 Amazon Q 开发者版扩展，请执行以下操作：

• 打开 Visual Studio Code
• 导航到“扩展”面板
• 找到 Amazon Q 开发者版
• 单击“更新”按钮

请参考版本 1.84.0 的以下哈希值：

• sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
  

参考：

• https://github.com/aws/aws-toolkit-vscode
• CVE-2025-8217
• GHSA-7g7f-ff96-5gcw
• AWS-2025-016

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。